선취권으로 프로젝트 보호

이 문서는 프로젝트 삭제에 대한 보호 기능을 추가하려는 프로젝트 소유자 및 조직 관리자를 대상으로 합니다.

프로젝트에 선취권을 적용하여 선취권을 삭제할 때까지 프로젝트 삭제를 차단할 수 있습니다. 이는 특히 중요한 프로젝트를 보호하는 데 유용합니다.

또한 프로젝트에 자동으로 선취권을 적용할 수 있습니다. 예를 들어 한 프로젝트의 Identity and Access Management(IAM) 서비스 계정을 다른 프로젝트의 리소스에 연결되도록 허용하면 서비스 계정이 있는 프로젝트에 선취권이 적용됩니다.

시작하기 전에

gcloud CLI는 프로젝트 선취권과 상호작용하는 가장 간편한 방법입니다. 설치되지 않은 경우 Google Cloud Shell을 사용할 수 있습니다.

필요한 역할

선취권을 수정하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 프로젝트 선취권 한정자(roles/resourcemanager.lienModifier) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 선취권을 수정하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

프로젝트에 선취권 적용

프로젝트에 선취권을 적용하려면 alpha resource-manager liens create 명령어를 사용합니다.

gcloud alpha resource-manager liens create \
  --project=[PROJECT_ID] \
  --restrictions=[PERMISSION_RESTRICTION] \
  --reason=[LIEN_REASON] \
  --origin=[LIEN_ORIGIN]

다음을 바꿉니다.

• [PROJECT_ID]: 선취권이 적용되는 프로젝트의 ID
• [PERMISSION_RESTRICTION]: 쉼표로 구분된 차단할 IAM 권한 목록. 프로젝트의 유효한 제한사항은 resourcemanager.projects.delete뿐입니다.
• [LIEN_REASON]: 이 선취권이 존재하는 이유에 대해 인간이 읽을 수 있는 설명. 이 설명을 큰따옴표로 묶습니다. 예: "This project is protected by a lien"
• [LIEN_ORIGIN]: 선취권을 시작한 사용자 또는 시스템을 나타내는 문자열. 필수 필드이지만 생략하면 사용자의 이메일 주소가 자동으로 채워집니다.

프로젝트의 선취권 나열

프로젝트에 적용된 모든 선취권을 나열하려면 alpha resource-manager liens list 명령어를 사용합니다.

gcloud alpha resource-manager liens list

출력은 다음과 비슷합니다.

gcloud alpha resource-manager liens list
NAME                                                  ORIGIN            REASON
p1061081023732-l3d8032b3-ea2c-4683-ad48-5ca23ddd00e7  user@example.com  testing

프로젝트에서 선취권 삭제

프로젝트에서 선취권을 삭제하려면 alpha resource-manager liens delete 명령어를 사용합니다.

gcloud alpha resource-manager liens delete [LIEN_NAME]

[LIEN_NAME]을 삭제할 선취권의 이름(예: p1061081023732-l3d8032b3-ea2c-4683-ad48-5ca23ddd00e7)으로 바꿉니다.

참조

API 참조: REST 리소스: 선취권